В ноябре текущего года исследователи IBM Trusteer обнаружили новую модификацию зловреда, известного как Neverquest, заметив значительный рост количества заражений. В новую вариацию банковского трояна внесена пара важных изменений: модификации коснулись процесса инсталляции и формата коммуникаций с C&C-сервером.

Новый вариант зловреда в основном нацелен на американские финансовые организации. С сентября по ноябрь количество случаев инфицирования в регионе Северной Америки выросло с 500 почти до 4000 — в рамках пользовательской базы антифрод-системы Rapport компании Trusteer (ныне в составе IBM). В целом за три месяца на долю Neverquest пришлось более 11 тыс. детектов.

Для того чтобы внедрить вредоносный код в целевую систему, Neverquest использует множество даунлоудеров, в том числе Zemot (Upatre), распространяемый через спам с ботнета Kuluoz (Asprox), а также Chanitor, использующий прокси-сеть Tor2web для доставки полезной нагрузки с хостов Tor. Также в распространении Neverquest могут быть задействованы drive-by-загрузки.

При запуске на скомпрометированной системе дроппер загружает dll-модуль Neverquest в папку %TEMP%, а затем запускает его при помощи regsvr32.exe. Затем зловред помещает свою копию в %Appdata% или %Programdata% (для Windows XP или Windows 7 соответственно). После того как эти две стадии завершены, вредоносный код внедряется в разные легитимные процессы Windows посредством функции CreateRemoteThreat. Сам дроппер удаляется при помощи инжекта в Explorer.exe. Что любопытно, этот тип зловреда использует несколько методов обхода антивирусного ПО, в частности делает DLL-модуль неудаляемым при помощи техник recurring runkey и watchdog. Первая из них предполагает использование бесконечного цикла записи в реестр Windows: если ключ удалить, он записывается вновь. Watchdog — это техника защиты ключевых компонентов вредоносного кода от удаления. Зловред находит директории, в которых сохранены его компоненты, и восстанавливает их в случае удаления. Как только один из компонентов удален, он тут же воспроизводится при помощи инжекта.

Neverquest обладает солидным набором функций, в числе которых захват видео и снимки экрана, возможность проведения MitM- и MitB-атак, а также модуль Pony, позволяющий похищать данные из email-клиентов, пароли от FTP и сохраненные в браузере идентификаторы. Контроль над скомпрометированными оконечными устройствами осуществляется через бек-коннект, VPN или SOCKS Proxy. В одном из конфигурационных файлов Neverquest исследователи обнаружили список более чем из 300 мишеней; в большинстве своем это финансовые учреждения, а также представители игровой индустрии, соцсети и СМИ.

За последний год Neverquest был неоднократно модифицирован; по словам исследователей, основной причиной всех этих изменений являлись попытки обхода антивирусов.

Категории: Вредоносные программы, Главное